网络安全笔记

飞塔防火墙 RCE

https://www.microsoft.com/en-us/security/blog/2025/04/08/exploitation-of-clfs-zero-day-leads-to-ransomware-activity/

利用 CLFS 零日漏洞可导致勒索软件活动

该文章围绕Windows EDR系统调用挂钩技术与“幽灵狩猎”理论展开，介绍了EDR系统的基础组件、系统调用挂钩原理，详细阐述“幽灵狩猎”理论的实现方法、优缺点及应用场景，并规划了后续研究方向。 1. EDR系统基础组件：Sanctum EDR已搭建起基础架构，涵盖驱动与IOCTL、进程句柄及创建拦截、驱动控制、向新进程注入DLL、用户模式引擎进程监控、驱动与用户模式引擎通信、GUI和日志记录功能。 2. 系统调用挂钩原理：用户模式操作需经接口库调用系统服务号（SSN）与内核交互，恶意软件常直接调用系统调用绕过EDR检测。EDR可在用户模式挂钩相关函数，如通过改写 ZwOpenProcess 等函数指令，跳转到注入的DLL来检查参数等信息，并借助IPC与用户模式引擎、驱动通信。 3. “幽灵狩猎”理论：这是一种实验性技术，旨在对抗恶意软件利用SysWhispers、Hells Gate等手段躲避EDR挂钩。以挂钩 OpenProcess 为例，在新进程启动时注入EDR的DLL，改写系统调用存根跳转到挂钩接收函数，检查参数并与引擎通信。若内核在系统调用前已发出句柄，则判定存在系统调用逃避行为，可选择终止进程。但该方法存在需挂钩多个函数、跟踪句柄创建困难等缺点，相比 OpenProcess ，在 CreateRemoteThread API上应用该技术问题较少 。 4. 后续研究方向：下一步先实现系统调用挂钩，完成基本POC后创建内部工具简化函数挂钩流程，待挂钩正常工作后深入研究“幽灵狩猎”技术。 https://fluxsec.red/edr-syscall-hooking

https://mp.weixin.qq.com/s/xG565cJ92pWB1k9TM8ePBA

https://mp.weixin.qq.com/s/pKNyMQWkg2QDor_U0gV-CQ

https://github.com/SecurityAura/DE-TH-Aura/tree/main/100DaysOfKQL

macOS恶意软件知识库 https://notes.crashsecurity.io/notes/x/A38A7A0B-F556-46E6-BF37-514627580675/x/3370998C-0768-466C-BD49-B4F04E61766B

mshta.exe 从命令行执行原始脚本 https://github.com/SecurityAura/DE-TH-Aura/blob/main/100DaysOfKQL/Day%2080%20-%20mshta.exe%20Executing%20Raw%20Script%20From%20Command%20Line.md

online

https://github.com/prodaft/malware-ioc/tree/master

https://github.com/SecurityAura/DE-TH-Aura/tree/main/100DaysOfKQL